Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Exemplo: Configurando um filtro para bloquear o acesso do TCP a uma porta, exceto de peers de BGP especificados

Este exemplo mostra como configurar um filtro de firewall sem estado padrão que bloqueia todas as tentativas de conexão TCP de porta 179 de todos os solicitantes, exceto de BGP peers especificados.

Requisitos

Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar este exemplo.

Visão geral

Neste exemplo, você cria um filtro de firewall sem estado que bloqueia todas as tentativas de conexão TCP de porta 179 de todos os solicitantes, exceto os peers de BGP especificados.

O filtro de firewall sem estado combina com todos os pacotes das interfaces diretamente conectadas no dispositivo A e no dispositivo B até filter_bgp179 a porta de destino 179.

Topologia

Figura 1 mostra a topologia usada neste exemplo. O dispositivo C tenta fazer uma conexão TCP com o Dispositivo E. O dispositivo E bloqueia a tentativa de conexão. Este exemplo mostra a configuração no Dispositivo E.

Figura 1: Rede típica com BGP peer sessionsRede típica com BGP peer sessions

Configuração

Configuração rápida CLI

Para configurar rapidamente este exemplo, copie os comandos a seguir, confie-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar com a configuração da rede e, em seguida, copie e copie e colar os comandos na CLI no nível da [edit] hierarquia.

Dispositivo C

Dispositivo E

Configuração do dispositivo E

Procedimento passo a passo

O exemplo a seguir requer que você navegar por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar pela CLI, consulte Como usar o Editor de CLI no modo de configuração no Guia de Usuários da CLI do Junos OS.

Para configurar o dispositivo E com um filtro de firewall sem estado que bloqueia todas as tentativas de porta 179 de todos os solicitadores, exceto BGP peers especificados:

  1. Configure as interfaces.

  2. Configure BGP.

  3. Configure o número do sistema autônomo.

  4. Defina o termo de filtro que aceita tentativas de conexão TCP para porta 179 a partir dos BGP peers especificados.

  5. Defina o outro termo de filtro para rejeitar pacotes de outras fontes.

  6. Aplique o filtro de firewall à interface de loopback.

Resultados

A partir do modo de configuração, confirme sua configuração show firewall inserindo os show interfaces comandos , e show protocols . show routing-options Se a saída não apresentar a configuração pretendido, repetir as instruções neste exemplo para corrigir a configuração.

Caso você não configure o dispositivo, entre commit no modo de configuração.

Verificação

Confirmar se a configuração está funcionando corretamente.

Verificar se o filtro está configurado

Propósito

Certifique-se de que o filtro está na saída do show firewall filter comando.

Ação

Verificação das conexões TCP

Propósito

Verificar as conexões TCP.

Ação

Do modo operacional, execute o show system connections extensive comando nos dispositivos C e Dispositivo E.

A saída no dispositivo C mostra a tentativa de estabelecer uma conexão TCP. A saída no dispositivo E mostra que as conexões são estabelecidas apenas com o dispositivo A e o dispositivo B.

Monitoramento do tráfego nas interfaces

Propósito

Use o comando para comparar o tráfego em uma interface que estabelece uma conexão TCP com o tráfego em uma interface que não monitor traffic estabelece uma conexão TCP.

Ação

Do modo operacional, execute o comando na interface do dispositivo E até o dispositivo B e monitor traffic na interface dispositivo E até o dispositivo C. A saída da amostra a seguir verifica se, no primeiro exemplo, as mensagens de reconhecimento ack () são recebidas. No segundo exemplo, ack as mensagens não são recebidas.